Чипокалипсис: Критическая уязвимость процессоров

  • Критическая уязвимость популярных процессоров ставит под угрозу  конфиденциальные данные пользователей (пароли, кэшированные файлы, ключи лицензионного софта и т. д.). Гипотетический фикс снизит производительность компьютеров почти на треть. Кто виноват и что делать?



Чипокалипсис:
Критическая уязвимость процессоров
(Intel, ARM, AMD)


Кто виноват?

Буквально на днях была "найденная" критическая уязвимость процессоров Intel, которая гипотетически способна выдать мошенникам ваши пароли и некоторые кэшированные файлы, ключи от лицензионного софта и некоторые другие данные. Подробности пока не разглашаются, но, судя по всему, её фикс даже при самом благоприятном раскладе существенно замедлит работу компьютера. Причём в некоторых случаях вы потеряете почти треть производительности! Intel не в состоянии закрыть дыру, ведь угрозу для вас представляет сторонний софт и сайты, а Intel просто приносит им эти данные на золотом блюдце. Уязвимость должны закрыть производители операционных систем Windows, Linux и Mac, а Intel остаётся только наслаждаться собственной беспомощностью...

Но нельзя ж так сидеть! Нужно что-то делать! Вот только гендиректор компании Intel Брайан Кржанич считает иначе: "Если не знаешь, что делать, лучше вообще ничего не делать!". Выбор ведь не велик: либо бежать с тонущего корабля, словно крыса, либо сделать традиционное для японцев сеппуку. Но он же не японец! И вместо того, чтобы элементарно извиниться перед пострадавшими пользователями (а их, к слову, наберётся почти полмира!), он сейчас спешно распродаёт свои акции. Ну и правильно! Зачем ждать обвала?

Другими словами, совсем скоро вы встанете перед непростым выбором:
  • либо вы устанавливаете обновление операционной системы, которое закроет уязвимость и защитит ваши данные, но при этом существенно снизит производительность компьютера
  • либо вы игнорируете все последующие обновления, осознанно подвергая себя немалому риску

И у меня Intel... Ну спасибо! Я так рад, что вы смогли насладиться кратковременным преимуществом над AMD! И ещё больше я буду рад, если завтра вы обанкротитесь и продадитесь за копейки каким-нибудь китайцам! Вот только этого не будет...

Как бы я не относился к работе PR-отделов и маркетологов, которым мы, скорее всего, обязаны и столь диким навязыванием Windows10, дело своё они всё-таки знают на ура! Пройдет несколько месяцев, и об инциденте никто и не вспомнит. Взять к примеру Microsoft: уж сколько у них было косяков, но ведь компания всё ещё на плаву! Сегодня никто и не вспомнит о том, что:
  • в августе 2013 обновление Windows7 не давало запускать сторонние программы
  • виджеты для Windows7 на официальном сайте после выхода Winodws8 уже не найти
  • Windows8 оказалась ОС для планшетов и совершенно не была адаптирована под ПК
  • тестовая сборка Windows Phone 8.1 для разработчиков убивала смартфоны, а Microsoft так и не признали, что это их вина
  • Nokia Lumia 2520 убивала пользователей, а Nokia в тот момент принадлежала как раз Microsoft
  • "cамопроизвольные" удаления каких-то компонентов ОС (у меня обновления устанавливаются вручную, я точно знаю, что ничего не ставил, так что обновление, которое удалило какие-то там пакеты, установилось само)
  • обновление антивируса Microsoft Security Essentials для WindowsXP сломало ОС, и случилось это аккурат через пару недель после прекращения поддержки старой операционки: "Переходите на более современные операционные системы!"
  • в ноябре 2017 обновление безопасности Windows7 убило некоторые модели принтеров
  • вечные синие экраны смерти, сопровождающие пользователей Windows на протяжении всей их жизни
  • постоянные ошибки реестра, из-за которых у вас просто не получится нормально удалить ненужный софт
  • странная Windows Vista
  • дикое навязывание Windows10 с расширенными возможностями слежки за пользователями

И это только те косяки, которые я за пару секунд скопировал из старой заметки. О скольких вещах я забыл или даже не слышал? Microsoft тупо перестали навязывать Windows10, и людская ненависть довольно быстро сошла на нет, а корпорацией зла снова назначили Google!

Так будет и с Intel... Не пройдёт и года, как о случившимся начнут забывать. Наклейка Intel на ноутбуке уже не будет  позорным клеймом. Нужно только подождать, и со временем тебе простят даже уничтожение мира!

Что делать?

Так что мы могли бы сделать в сложившейся ситуации? Абсолютно ничего! Сидим и ждём фикса. Но зная Microsoft, далеко не факт, что этот фикс дойдёт и до вашей операционной системы. Счастливые обладатели Windows10 вроде как уже получили необходимое обновление, а вот пользователям устаревших Windows7 и Windows8 придётся подождать и установить обновление вручную. И я просто напомню, что совсем недавно (кажется, дело было в ноябре 2017) как раз таким же обновлением безопасности Microsoft убили некоторые принтеры. Так что осторожнее...

Яблочным рабам тоже не повезло: во-первых, именно процессоры Intel используются в компьютерах Apple (альтернативы просто нет), а во-вторых, уязвимости подвержены и некоторые процессоры AMR серии Cortex-A, а именно их Apple используют в своих смартфонах.

"Хороших" новостей немного:
  • Android также подвержен уязвимости, но на большинстве устройств её довольно сложно воспроизвести
  • уязвимости, скорее всего, не подвержены мобильные процессоры AMR серии Cortex-M, а это значит, что интернет вещей в относительной безопасности
  • у счастливых обладатель процессоров AMD тоже есть шанс, что уязвимость обойдёт их стороной, по крайней мере так утверждают представители самой компании (правда, с этим утверждением в корне не согласны Microsoft)


По понятным причинам подробности уязвимости не раскрываются. И это правильно... Но и молчать о проблеме нельзя! И вот, например, столь ненавистный миру Google признал, что браузер Chrome также может подвергнуться атаке. Но в отличие от остальных компаний, которые предлагают пользователям просто ждать, Google предлагает хотя бы временное решение проблемы: пользователи могут самостоятельно изолировать сайты, чтобы одни сервисы не смогли получить данные других (разумеется, только внутри браузера), а 23 января должно выйти плановое обновление браузера, которое автоматически закроет уязвимость. Казалось бы, зачем ждать? Ведь в случае с 0-day уявимостями Flash компания довольно быстро выпускала горячие фиксы. Почему нельзя повторить это сейчас?

Выводы

Всё очень плохо! Данных об уже совершённых атаках пока нет, но ведь это не значит, что их не будет вовсе. Даже в такой ситуации пользователи должны подвергаться риску и тупо ждать обновлений, которые даже при самом благоприятном раскладе не лучшим образом скажутся на производительности. Хотелось бы верить, что со временем и эту проблему исправят, но... Верится с трудом! Особенно упёртым олдфагам на Windows7...


Если хотите подробнее разобраться в проблеме и с головой окунуться в беспросветную безнадёгу, совету ознакомиться с несколькими статьями от TJournal, Meduza и VC.ru:

Если найдёте ещё что-то интересное, говорите. Всё-таки проблема серьёзная и касается почти всех. Повлиять на её решение мы не можем, но нужно хотя бы быть в курсе происходящего.

В ближайшее время постараюсь перевести инструкции Google (они хоть и не спасают от всех угроз, но всё же это лучше, чем ничего) и посмотрю, подходят ли они для других браузеров.Mozilla, к слову, уже выпустила срочное обновление безопасности для Firefox (57.0.4). Остальные то чего ждут?


UPD

Ходят слухи, что Крис Касперски предупреждал мир о серьёзных уязвимостях процессоров Intel ещё 10 лет назад. Ещё в 2008 он обещал продемонстрировать взлом компьютеров на базе Windows, Linux, BSD и Mac во время конференции Hack in the Box в Малайзии. Причём для взлома как и сейчас, вроде бы, было достаточно java-скрипта. Сам Касперски утверждал, что об уязвимости уже давно известно, просто пока её массово не начнут использовать хакеры, производители не спешат тратить силы на её устранение. Возможно, о той же уязвимости годом ранее (т. е. в 2007) предупреждал и основатель OpenBSD и OpenSSH Тео де Раад.

Вот только в тот момент к проблеме мало кто отнёсся серьёзно. Создатель Linux Линус Торвальдс счёл косяки процессоров незначительными, а представители Intel пообещали, что найденные проблемы не окажут существенного влияния на пользователей. Сложно сказать, та же это была уязвимость или какая-то другая. Но факт остаётся фактом.

UPD 2

Пытаясь закрыть уязвимости процессоров Intel, Microsoft случайно убили компьютеры с процессорами от AMD. Ну а чего вы ждали? Это ж Microsoft! Так что, какими бы пугающе серьёзными не казались вам Meltdown и Spectre, я бы всё-таки рекомендовал не торопиться и пока обождать. В случае с Microsoft всегда лучше подождать недельку-другую...

UPD 3

12 января стало известно, что после экстренных обновлений безопасности компьютеры на базе некоторых процессоров Intel (список можно посмотреть здесь) по пока неясным причинам могут часто перезагружаться. Intel пообещали исправить проблему в течении нескольких дней и посоветовали пользователям всё-таки не игнорировать обновления безопасности. Но спустя три дня передумали и призвали пользователей отказаться от установки обновлений, которые им так настойчиво рекомендовали установить весь этот месяц. Просто слов нет!

UPD 4

29 января Microsoft выпустили ещё одно экстренное обновление Windows, решающее проблему частых и беспричинных перезагрузок. Как именно? Да всё просто: они тупо откатились назад и отказались от исправления уязвимостей. Красота! Даже не представляю, как бы я бомбил, если бы меня эти перезагрузки коснулись... Хоть какой-то плюс от ПК восьмилетней давности!

За сим всё...
Рассказать друзьям через AddThis или Shareaholic
Translate via GoogleYandexBing or Promt

Комментарии

Популярные сообщения